用的阿里家的云主机,由于本来不是访问量很大的网站,就没有开 WAF ,只开了全站加速
6 日早晨开始遭受 CC 攻击,早上一睁眼发现手机上受到警报信息
大量 IP 针对网站 static 文件夹下的静态文件发起请求,消耗大量流量,短时间内被刷掉几百 G
后台查看 HTTP 服务器的 log 发现是很大数量不同 IP 请求,全世界哪儿的 IP 都有,请求的都是同一个文件,初步看没法封 IP ,就把静态文件给改了个名,这样至少流量就不会掉很快
结果发现,改了文件名返回 404 之后,请求频率就更高了
于是,赶紧开了 WAF,设置对该静态文件的全部请求进行拦截,立杆见影。 同时也发现了两个事实: 1.请求频率差不多是每分钟 3000+ 2.其实只有 1 个 IP 来源,通过 http 头伪造了 IP 。(才想起来,之前看的都是 HTTP log,要是仔细查一下 req 细节,其实就早就明白了)
然后,封 IP 。 由于查到该 IP 是南方某市的,直接打了当地 110 号,但是回复说应就近报警,由我这边 GA 来调查,他们配合
想来也麻烦,目前反馈给阿里家,客服主动开了提交网警的工单,等后续。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.